Sicherheit mobiler Systeme

Transkript

1 Sicherheit mobiler Systeme Hannes Federrath Universität Regensburg 1

2 Mobilkommunikation Einführung Unterschiede Festnetz- und Mobilkommunikation Teilnehmer bewegen sich Bandbreite auf der Luftschnittstelle knapp Luftschnittstelle störanfälliger als Leitungen des festen Netzes: zeitweilige Diskonnektivität Luftschnittstelle bietet neue Angriffsmöglichkeiten: erleichterte Abhörmöglichkeit Peilbarkeit 3

3 Mobilkommunikation am Beispiel GSM Ursprünglich: Groupe Spéciale Mobilé der ETSI Sicherheitsfunktionen des Global System for Mobile Communication Zugangskontrolldienste (PIN, Chipkarte) Authentikations- und Identifikationsdienste Unterstützung von temporären Identifizierungsdaten (Pseudonymen) Abhörsicherheit für Outsider auf der Funkschnittstelle priorisierter Notrufdienst 4

4 Struktur von GSM Logischer Netzaufbau HLR AuC EIR MSC VLR MSC VLR MSC BSC VLR MS HLR: Home Location Register AuC: Authentication Center EIR: Equipment Identity Register MSC: Mobile Switching Center VLR: Visitor Location Register BSC: Base Station Controller BTS: Base Transceiver Station MS : Mobile Station LA : Location Area BTS LA 5

5 Location Management im GSM Grundprinzip verteilte Speicherung Verteilte Speicherung über Register Home Location Register und Visitor Location Register Netzbetreiber hat stets globale Sicht auf Daten Bewegungsprofile sind erstellbar incoming call: A HLR Adresse des VLR: A VLR VLR Adresse des LA: LAI BTS besuchtes LA MS B MSISDN enthält Nummer des HLR weit entfernt vom LA Datenbankabfrage Datenbankabfrage Rufs ins LA Vermittlung des in der Nähe des LA Broadcast im LA 6

6 Sicherheitsrelevante Funktionen des GSM Überblick Subscriber Identity Module (SIM, Chipkarte) Zugangskontrolle und Kryptoalgorithmen einseitige Authentikation (Mobilstation vor Netz) Challenge-Response-Verfahren (Kryptoalgorithmus: A3) Pseudonymisierung der Teilnehmer auf der Funkschnittstelle Temporary Mobile Subscriber Identity (TMSI) Verbindungsverschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: A8 Verschlüsselung: A5 7

7 Subscriber Identity Module (SIM) Spezielle Chipkarte mit Rechenkapazität Gespeicherte Daten: IMSI (interne Teilnehmerkennung) teilnehmerspezifischer symmetrischer Schlüssel Ki (Shared Secret Key) PIN (Personal Identification Number) für Zugangskontrolle TMSI LAI Krypto-Algorithmen: Algorithmus A3 für Challenge-Response-Authentikationsverfahren Algorithmus A8 zur Generierung von Kc (Session Key) 8

8 Sicherheitsrelevante Funktionen des GSM Überblick Subscriber Identity Module (SIM, Chipkarte) Zugangskontrolle und Kryptoalgorithmen einseitige Authentikation (Mobilstation vor Netz) Challenge-Response-Verfahren (Kryptoalgorithmus: A3) Pseudonymisierung der Teilnehmer auf der Funkschnittstelle Temporary Mobile Subscriber Identity (TMSI) Verbindungsverschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: A8 Verschlüsselung: A5 9

9 Challenge-Response-Authentikation Wann vom Netz initiiert? Aufenthaltsregistrierung (Location Registration) Aufenthaltswechsel (Location Update) mit VLR-Wechsel Call Setup (in beiden Richtungen) Kurznachrichtendienst SMS (Short Message Service) Protokoll MS MSC/VLR/AuC max. 128 Bit 128 Bit Random Generator Ki Authentication Request RAND Ki A3 32 Bit A3 Authentication Response SRES = Authentication Result 10

10 Challenge-Response-Authentikation Algorithmus A3 auf SIM und im AuC untergebracht mit Ki parametrisierte Einwegfunktion nicht (europaweit, weltweit) standardisiert kann vom Netzbetreiber festgelegt werden: Authentikationsparameter werden vom Netzbetreiber an das prüfende (d.h. das besuchte) MSC übermittelt dort lediglich Vergleichsoperation besuchtes MSC muß der Güte von A3 vertrauen Schnittstellen sind standardisiert MS MSC/VLR/AuC max. 128 Bit 128 Bit Random Generator Ki Authentication Request RAND Ki A3 32 Bit A3 Authentication Response SRES = 11 Authentication Result

11 Sicherheitsrelevante Funktionen des GSM Überblick Subscriber Identity Module (SIM, Chipkarte) Zugangskontrolle und Kryptoalgorithmen einseitige Authentikation (Mobilstation vor Netz) Challenge-Response-Verfahren (Kryptoalgorithmus: A3) Pseudonymisierung der Teilnehmer auf der Funkschnittstelle Temporary Mobile Subscriber Identity (TMSI) Verbindungsverschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: A8 Verschlüsselung: A5 12

12 Pseudonymisierung auf der Funkschnittstelle TMSI (Temporary Mobile Subscriber Identity) soll Verkettung von MS alte TMSI im SIM (beliebige Nachricht, in der TMSI verwendet wird) LAI old, TMSI old Netz Teilnehmeraktionen verhindern Algorithmus zur Generierung der TMSI legt Netzbetreiber fest bei erster Meldung (oder nach Fehler) wird IMSI aus SIM Identity Request Identity Response IMSI Authentikation VLR: keine Zuordnung TMSI IMSI möglich IMSI übertragen VLR: Neuvergabe TMSI Neuvergabe einer TMSI bei unbekannter alter Speicherung TMSI new TMSI Identity Request... kann jederzeit von Netz gesendet werden Kc A5 TMSI Reallocation Command cipher(tmsi new) BSC: Chiffr. A5 13

13 Pseudonymisierung auf der Funkschnittstelle TMSI (Temporary Mobile Subscriber Identity) soll Verkettung von Teilnehmeraktionen verhindern Algorithmus zur Generierung der TMSI legt Netzbetreiber fest bei erster Meldung (oder nach Fehler) wird IMSI übertragen MS alte TMSI im SIM Kc (beliebige Nachricht, in der TMSI verwendet wird) LAI old, TMSI old Authentikation TMSI Reallocation Command cipher(tmsi new) Netz VLR: Zuordnung TMSI IMSI VLR: Neuvergabe TMSI Speicherung TMSI new BSC: Chiffr. A5 A5 Speicherung TMSI new TMSI Reallocation Complete Löschung TMSI old neue TMSI im SIM 14

14 Sicherheitsrelevante Funktionen des GSM Überblick Subscriber Identity Module (SIM, Chipkarte) Zugangskontrolle und Kryptoalgorithmen einseitige Authentikation (Mobilstation vor Netz) Challenge-Response-Verfahren (Kryptoalgorithmus: A3) Pseudonymisierung der Teilnehmer auf der Funkschnittstelle Temporary Mobile Subscriber Identity (TMSI) Verbindungsverschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: A8 Verschlüsselung: A5 15

15 Verschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: Algorithmus A8 auf SIM und im AuC untergebracht mit Ki parametrisierte Einwegfunktion nicht (europaweit, weltweit) standardisiert kann vom Netzbetreiber festgelegt werden Schnittstellen sind standardisiert Kombination A3/A8 bekannt als COMP128 MS Netz max. 128 Bit 128 Bit Random Generator Ki (Authentication Request) RAND Ki A8 A8 64 Bit Kc in SIM gespeichert in MS benutzt Kc in HLR gespeichert in BSC benutzt 16

16 Verschlüsselung auf der Funkschnittstelle Datenverschlüsselung: Algorithmus A5 in der Mobilstation (nicht im SIM!) untergebracht europa- bzw. weltweit standardisiert schwächerer Algorithmus A5* oder A5/2 für bestimmte Staaten MS Netz Kc TDMA- Rahmennummer Ciphering Mode Command (Verschlüsselungsmodus) TDMA- Rahmennummer 22 Bit Kc 64 Bit A5 A5 114 Bit Schlüsselblock Schlüsseltext Klartextblock (Ciphering Mode Complete) Verbindungsverschlüsselung Klartextblock 17

17 Verschlüsselung auf der Funkschnittstelle Ciphering Mode Command (GSM 04.08) Informationselement Länge in Bit Protocol discriminator Transaction discriminator 16 Message type Ciphering mode setting 8 Cipher mode setting information element SC=0 No chiphering Ciph mode set IEI Spare Spare Spare SC=1 Start ciphering 18

18 Zusammenspiel der Sicherheitsfunktionen MS Ki, IMSI, TMSI Location Updating Request TMSI old, LAI old Netz RAND, SRES, Kc, IMSI, TMSI Ki Kc A3 + A8 Kc Authentication Request RAND Authentication Response SRES Ciphering Mode Command SRES = A5 Ciphering Mode Complete A5 A5 TMSI Reallocation Command A5 A5 Location Updating Accept A5 A5 TMSI Reallocation Complete A5 19

19 Angriffe Kritik kryptographische Mechanismen geheim, also nicht «wohluntersucht» Folge: Schwächen nicht auszuschließen Angriff: SIM-Cloning symmetrisches Verfahren Folge: Speicherung nutzerspezifischer geheimer Schlüssel beim Netzbetreiber erforderlich Angriff: «Abfangen» von Authentication Triplets keine gegenseitige Authentikation vorgesehen Folge: Angreifer kann ein GSM-Netz vortäuschen Angriff: IMSI-Catcher 20

20 «SIM-Cloning» Angriffsziel Telefonieren auf Kosten anderer Teilnehmer beschrieben von Marc Briceno (Smart Card Developers Association), Ian Goldberg und Dave Wagner (beide University of California in Berkeley) Angriff bezieht sich auf Schwäche des Algorithmus COMP128, der A3/A8 implementiert SIM-Karte (incl. PIN) muß sich in zeitweiligem Besitz des Angreifers befinden Aufwand ca Berechnungsschritte, um Ki (max. 128 Bit) zu ermitteln derzeit ca Stunden 21

21 Angriffe Kritik kryptographische Mechanismen geheim, also nicht «wohluntersucht» Folge: Schwächen nicht auszuschließen Angriff: SIM-Cloning symmetrisches Verfahren Folge: Speicherung nutzerspezifischer geheimer Schlüssel beim Netzbetreiber erforderlich Angriff: «Abfangen» von Authentication Triplets keine gegenseitige Authentikation vorgesehen Folge: Angreifer kann ein GSM-Netz vortäuschen Angriff: IMSI-Catcher 22

22 «Abfangen» von Authentication Sets Angriffsziel Telefonieren auf Kosten anderer Teilnehmer beschrieben von Ross Anderson (Universität Cambridge) Abhören der unverschlüsselten netzinternen Kommunikation bei Anforderung der Authentication Triples vom AuC durch das besuchte VLR/MSC Angriff beruht auf folgender «Schwäche» GSM-Standard beschreibt größtenteils Implementierung von Schnittstellen zwischen den Netzkomponenten Verschlüsselung der Authentication Sets bei Übermittlung vom AuC zum VLR/MSC nicht vorgesehen 23

23 Verschlüsselung auf der Funkschnittstelle Richtfunkstrecke (unverschlüsselt) Mobilstation (verschlüsselt) BTS Gateway-MSC HLR/ VLR Mobilstation (verschlüsselt) BTS 24

24 «Abfangen» von Authentication Sets 25

25 Angriffe Kritik kryptographische Mechanismen geheim, also nicht «wohluntersucht» Folge: Schwächen nicht auszuschließen Angriff: SIM-Cloning symmetrisches Verfahren Folge: Speicherung nutzerspezifischer geheimer Schlüssel beim Netzbetreiber erforderlich Angriff: «Abfangen» von Authentication Triplets keine gegenseitige Authentikation vorgesehen Folge: Angreifer kann ein GSM-Netz vortäuschen Angriff: IMSI-Catcher 26

26 IMSI-Catcher Angriffsziele Welche Teilnehmer halten sich in der Funkzelle auf? Gespräche mithören Man-in-the-middle attack (Maskerade) Abwehr: Gegenseitige Authentikation: MS Netz und Netz MS 27

27 IMSI-Catcher Angriffsziele Welche Teilnehmer halten sich in der Funkzelle auf? Gespräche mithören Man-in-the-middle attack (Maskerade) Abwehr: Gegenseitige Authentikation: MS Netz und Netz MS Quelle: Verfassungsschutz, 28

28 Zusammenfassung Datenschutzdefizite (Auswahl) geheimgehaltene symmetrische Kryptoverfahren schwacher Schutz des Ortes gegen Outsider kein Schutz gegen Insiderangriffe (Inhalte, Aufenthaltsorte) keine Ende-zu-Ende-Dienste (Authentikation, Verschlüsselung) Vertrauen des Nutzers in korrekte Abrechnung ist nötig keine anonyme Netzbenutzung möglich Fazit: Stets werden externe Angreifer betrachtet. GSM soll lediglich das Sicherheitsniveau existierender Festnetze erreichen. 29

29 Sicherheit mobiler Systeme Ausblick Konzepte zur anonymen und unbeobachtbaren Kommunikation Bezahlung mobiler Dienstleistungen Sicherheit von Location-Based Services Intelligent Network... Access Network Core Network Anonymous Network 30